情報セキュリティ

基本情報技術者試験アクセス権管理」の問題

情報セキュリティ情報セキュリティ難易度:normal
M社では、人事システムが部署や職位の変更を毎日反映している一方、業務システム側のアクセス権は申請ベースで付与され、変更時に削除する仕組みがない。その結果、複数部署を渡り歩いた社員が過去のすべての部署のデータを閲覧できる状態が常態化している。この状況を是正する運用上の対策として、最も適切なものはどれか。
付与申請に上長の承認を必須化し、申請段階での権限の妥当性審査を厳格にする。
システム管理者が業務の中で不要と感じた権限を、その都度判断して削除していく。
最新の職務情報と現在の付与権限を周期的に照合し、職務と食い違う分を洗い出す。
全社員のアクセスログを収集し、長期間使われていない権限を一覧にまとめて報告する。
正解
最新の職務情報と現在の付与権限を周期的に照合し、職務と食い違う分を洗い出す。

本状況の核心は『付与はされるが変更時に削除されず権限が累積する』点である。人事情報という権威ある最新の職務情報と各システムの実際の権限を定期的に突合(棚卸し)し、現職務に合致しない権限を見直せば、既に累積した不要権限を網羅的に発見し是正できる。原因に直接対応している。

?選択肢ごとの解説

ア ×申請段階の承認厳格化は今後の過剰付与を絞る入口対策であり、既に累積した既存の不要権限は一つも減らせない。
イ ×管理者が業務の中で気づいた都度の削除は属人的で網羅性がなく、見落としが避けられないため累積権限の確実な解消にならない。
ウ ○本状況の核心は『付与はされるが変更時に削除されず権限が累積する』点である。人事情報という権威ある最新の職務情報と各システムの実際の権限を定期的に突合(棚卸し)し、現職務に合致しない権限を見直せば、既に累積した不要権限を網羅的に発見し是正できる。原因に直接対応している。
エ ×未使用権限の一覧化は現状把握には役立つが、洗い出し後の見直し・削除という是正行為に踏み込まないため状態は変わらない。

くわしく

アクセス権管理は付与・変更・削除のライフサイクルを通じて整合を保つ必要がある。本問は変更・削除の欠落により権限が単調増加する典型である。最新の信頼できる職務情報源(人事システム)を基準に定期突合する棚卸しが、属人性を排した網羅的是正の要諦となる。

本番での押さえどころ

試験のコツ

『権限が累積・残存している』が論点なら、定期棚卸し(最新の職務情報との突合と見直し)が正解。申請時審査の強化は既存分に効かない。

覚え方

権限は『入れたら定期的に在庫確認』。買い物の入口を絞るだけでなく、棚の中身を定期的に整理する。

よくある誤り

入口の承認強化(ア)で十分と考えてしまうが、入口対策は将来の流入を絞るだけで、既に溜まった不要権限という在庫は減らせない点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0025

【基本情報技術者試験】アクセス権管理の問題 — 解答・解説|ukamiru 過去問